箇条9では,情報セキュリティパフォーマンスとISMSの有効性を評価することを要求しています。
この記事では,「9.2 内部監査」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「9.2 内部監査」では,ISMSの適合性および有効性を評価するために,あらかじめ定められた間隔で内部監査を実施することを要求しています。
規格要求事項
9.2 内部監査
組織は,ISMSが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。
a) 次の事項に適合している。
1) ISMSに関して,組織自体が規定した要求事項
2) この規格の要求事項
b) 有効に実施され,維持されている。組織は,次に示す事項を行わなければならない。
ISO 27001:2013(JIS Q 27001:2014)
c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
d) 各監査について,監査基準及び監査範囲を明確にする。
e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
f) 監査の結果を関連する管理層に報告することを確実にする。
g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。
内部監査って具体的には何をするんですか?
簡単に言うと,組織が構築・運用するISMSについて,規格やルールへの適合性と有効性を確認することなんだ。
ISMS内部監査の実施
規格では,組織のISMSの適合性と有効性について,あらかじめ定めた間隔(年1回以上)で内部監査を実施して確認することを求めています。
適合性【9.2 a)】
組織が自ら定めたISMSに関する規定やルールへの適合のほか,ISO/IEC 27001の要求事項に適合しているかを監査します。
有効性【9.2 b)】
監査基準への適合性はもちろんのこと,組織のISMSが有効に実施され,維持されているかについても内部監査で確認します。
内部監査実施手順の確立
内部監査を実施するための監査プログラムについて,計画および実施の手順を定めることのほか,その監査プログラムに基づいて実施した監査結果の経営層への報告,フォローアップおよび文書化が求められています。
監査プログラム(内部監査計画)【9.2 c)】
内部監査を実施するために,監査の計画から実施までの一連の監査計画を定めます。監査計画には,監査の目的やテーマのほか,監査の範囲や期間,監査スケジュールが含まれます。
監査基準と監査範囲【9.2 d)】
監査基準および監査の対象となる業務プロセスや部門などの範囲を決定します。
内部監査員の選定【9.2 e)】
内部監査員の選定については,監査プロセスの客観性および公平性を確保するが求められています。内部監査員が,自分の仕事を自分で監査することがないように選定する必要があります。
監査結果の報告【9.2 f)】
内部監査の結果は,マネジメントレビューの重要なインプット項目となります。監査結果は,監査対象の組織や部門の責任者に対して,確実に報告します。
監査プログラムと監査結果の文書化【9.2 g)】
内部監査の手順を含む内部監査プログラムと監査結果の文書化が求められています。
構築・運用のポイント
マネジメントシステムでは,計画(Plan)したことが,実施(Do)されているかを点検(Check)し,継続的に改善(Act)することが求められますが,この点検(Check)において,客観性と公平性が確保された監査プロセスによる内部監査とすることが求められます。
内部監査は,組織から独立した専門的立場で客観的で公平な監査を行い,組織のISMSを適正に評価し,不適合が検出された場合には,それらの改善に寄与するのが目的となります。
内部監査の実施手順
ISMSの構築段階では,内部監査の計画から実施,報告までを組織内部で完結させるのは少しハードルが高いですが,まったくできないわけでもありません。最低限必要となる内部監査の要点を押さえていれば,審査で不適合が検出されることはありませんので,自分たちだけでチャレンジしてみるのも良いでしょう。
内部監査基準と監査プロセスの確立
内部監査は,年1回実施することが一般的ですが,組織の希望や状況に応じて,分割して半年ごとに行ったり,重要な活動には複数回実施しても構いません。ただし,ISMS構築段階では,認証審査までに適用範囲全体を監査対象として内部監査を実施する必要があります。
内部監査基準
内部監査とは,監査の対象となる部門や人の活動が,監査基準に適合しているかを判定することです。この監査基準とは,「ISO/IEC 27001の要求事項」と「組織が定めた規定・ルール」のことで組織が決定した準拠すべき事項のことです。
内部監査体制
内部監査体制は,内部監査責任者と内部監査員で構成されるのが一般的です。また,内部監査は,内部監査員2名以上でチームを編成し,チームの中から内部監査リーダーを決定します。
- 内部監査責任者
トップマネジメントから任命され,内部監査を計画・実施して,トップマネジメントに対して監査報告を実施する者で,内部監査の実施ごとに監査チームの編成や内部監査員を指名します。 - 内部監査リーダー
内部監査責任者から任命され,被監査部門ごとの個別の監査実施計画の立案および内部監査チームを率いて監査を指揮する者で,監査所見について被監査部門と合意し,内部監査報告書を作詞します。 - 内部監査員
内部監査員の要件を満たし,内部監査責任者から任命された者で,内部監査リーダーの下で内部監査を実行する。
内部監査手順
- 監査プログラム作成
ISMSの活動計画に基づき,内部監査の基本計画を策定する。また,内部監査の基本計画に基づいて,個別の監査実施計画を策定する。- 基本計画は,監査の目的およびテーマのほか,監査の実施時期・期間,監査の対象範囲,内部監査体制を含む,内部監査全体についての計画です。
- 個別の監査実施計画は,監査の目的およびテーマのほか,監査の重点項目,被監査部門と調整して具体的な監査の日程を決定した監査スケジュールについての計画です。監査スケジュールは,被監査部門の規模や業務によりますが,1部門当たり1~2時間程度を割り当てます。
- 事前準備
名部監査チームは,監査の目的およびテーマ、監査の重点項目のほか,被監査部門の業務内容や取り扱う情報資産,情報セキュリティ目的を確認し,内部監査チェックリストを作成します。また,内部監査員によって監査結果のバラツキがでないように,監査チーム内で監査所見について確認しておきます。- 内部監査チェックリストには,監査で確認する事項を箇条書きにしたものに,監査結果の記入欄を設け,ISMS要求事項や組織で決定した規定やルールをベースに,確認事項を決定します。
- 監査所見の分類例
- 重大な不適合
要求事項を満たしておらず,意図した成果を達成するマネジメントシステムの能力に影響を与える場合の不適合。- 効果的なプロセス管理の実施に重大な疑問がある,またはその製品またはサービスが規定された要求事項を満たしていない場合
- 同一の要求事項に関連した多数の軽微な不適合がある場合
- 体系的/系統的な不具合を示す問題があり,重大な不適合に格上げされる場合
- 軽微な不適合
要求事項を満たしていないが、意図した成果を達成するマネジメントシステムの能力に影響を与えない場合の不適合。- 手続きに不備がある場合
- 文書の記載漏れや記載不備がある場合
- プロセスの一部に改善の余地がある場合
- 改善の機会
監査員が確認した客観的な証拠に基づいた事実で,改善されなければ将来的に不適合につながる可能性のあるマネジメントシステムの顕在的または潜在的な課題。
- 重大な不適合
- 監査実施
監査は,内部監査チェックリストに基づき以下の手法のいずれか,または組み合わせで実施します。監査の基本は質問(インタビュー)ですが,ヒアリングだけでは確認できない,裏付けとなる事実の確認が必要な場合には,監査対象によって,閲覧,観察,再実施(テスト)などの手段を使用します。- 質問:関係者に対して口頭で問い合わせ,説明や回答を求める
- 閲覧:規程文書,手順書,記録等を調べ読むことによって,問題点を明らかにする
- 観察:監査員自らが現場に赴き、目視によって確認する
- 再実施:監査員自らが組織の管理策を実施・運用し,管理策の適否や妥当性を確認する
- 監査報告
内部監査リーダーは,内部監査員が実施した監査の結果について,監査所見をまとめた報告書を作成し,内部監査責任者に報告します。内部監査責任者は,それらの報告をまとめて,トップマネジメントへ最終報告するとともに,不適合が検出された場合には,不適合に対する是正処置と再発防止策を要求し,改善の機会については,予防処置の検討を依頼します。 - 是正・予防処置
不適合が指摘された部門は,その不適合の状態を是正するために修正処置を行い,その不適合の再発防止策を実施します。改善の機会については,リスクアセスメントを行い,必要に応じて管理策を決めて実施します。 - フォローアップ
内部監査の指摘事項に対する是正またま予防処置が確実に実施されているかの確認を行います。重大な不適合に対する是正の場合には,必要に応じて再監査を実施します。
以上が内部監査の手順の概要となりますが,構築初期段階や運用に慣れていない場合など,自力での実施が難しい場合には,外部のコンサルタントや監査サービスにお願いすることを検討しても良いでしょう。